Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
Наконец-то смог поиграть в новый Аркнайтс.
Прошёл первые главы и покрутил гачу. За вход в игру дали Арделию, а в стандартном баннере выпала её копия, а также Лифэн. Пограничник выпал в баннере новичка. Бесплатного легендарного персонажа ещё не выбирал, но в ящике с оружием взял меч для Пограничника.
Впечатления примерно как на бета-тесте, начало игры просто освежило память. Очень хотелось депнуть на Лэватейн, но я сдержался и решил вообще не донатить в игру в первом патче.
Добавляйтесь в друзья: 6327281061
#endfield@ostalf_lab
Мне попался смешной ролик с озвучкой сюжета ХСР через нейросеть. Там иронично озвучивались происходящие события... и у меня появилась глупая идея: записать стартовый геймплей Эндфилда, написать текст, озвучить его и смонтировать всё в ролик.
Почему-то вся эта история хорошо лайкается и воспринимается как ирония, поэтому я по приколу залил видео в ТикТок.
Бездарная трата времени.
#endfield@ostalf_lab
Оказывается Т2x2 нашёл лайфхак по выпадению легендарок в Arknights: Endfield :D
Я обычно не смотрю стримеров, но мне стало интересно как он будет обозревать игру на проплаченном стриме.
Итог: такая себе реклама.
#endfield@ostalf_lab
В следующем месяце стартует бета-тестирование Arknights: Endfield.
Это интересный проект, за которым я слежу с первого бета-теста. Зарезервировал URL, но планировал запустить канал ближе к релизу или после подтверждения русской локализации. Птичка нашептала, что русский перевод всё таки будет, так что канал запустил сегодня. Уже появились первые официальные русскоязычные ресурсы, а 31 октября пройдёт специальная трансляция. Запись трансляции будет доступна с русскими субтитрами.
Постараюсь получить доступ к бета-тестированию или поработать с другим тестером.
Слышали об этой игре?
#endfield@ostalf_lab
Продуктивно провёл первую половину стрима — работал на заводе строил своё производство.
Сегодня умудрился выбить созвездие Эмбер и легендарный меч, а также получил сигнатурное оружие Эмбер за закрытие баннера новичка.
#стрим@ostalf_lab / #endfield@ostalf_lab
🥳Канал по новому Аркнайтсу достиг отметки в десять тысяч подписчиков.
Принял участие в веб-ивенте, но доступ получить не смог. Кто-нибудь из вас стал счастливчиком?
#проекты / #endfield